Microsoft Security Settings – Zehn Tipps für höhere IT-Sicherheit
Die Hackerangriffe auf Unternehmen nehmen zu und werden immer raffinierter. Daher wird IT-Sicherheit zunehmend wichtiger für den erfolgreichen Geschäftsbetrieb. In unserem heutigen Beitrag möchten wir Ihnen die zehn Security-Tipps von Microsoft vorstellen, sie reichen von Multi-Faktor-Authentifizierung bis hin zu starker Verschlüsselung.
Die Zahl der Hacker-Attacken auf Firmen steigt seit Jahren stetig an. Die Frage ist nicht mehr, ob etwas passiert, sondern wann. Denn Digitalisierung, stärkere Cloud-Nutzung, die Verlagerung von Arbeitsplätzen ins Homeoffice oder die zunehmende Vernetzung etwa im Internet der Dinge bieten den Angreifern größere Angriffsflächen. Die Bedrohung nimmt also eher zu als ab. Unternehmen müssen daher effiziente Security-Prozesse aufbauen, um sich vor Angriffen zu schützen oder schnell reagieren zu können.
Manchmal reichen aber schon relativ einfache Einstellungen / Maßnahmen aus, um Cyberattacken zu verhindern und so Unternehmensdaten besser zu schützen. Im Folgenden geben wir Überblick über die zehn Security-Tipps von Microsoft:
Tipp 1: Multi-Faktor-Authentifizierung nutzen
Die Multi-Faktor-Authentifizierung (MFA) verlangt von Anwendern beim Zugriff auf ihr Benutzerkonto oder Anwendungen neben Benutzernamen und Kennwort zusätzliche Identitätsnachweise (Faktoren). Das können biometrische Merkmale wie Fingerabdruck oder Iriserkennung sein, ein Hardware-Token oder ein einmaliges Kennwort (One Time Password), das per E-Mail, SMS oder Apps, wie die Authenticator-App von Microsoft, verschickt oder erzeugt wird. Die MFA erhöht das Schutzniveau, wenn ein Faktor kompromittiert wird. Cyberkriminellen fällt es dann deutlich schwerer, auf vertrauliche Daten und Anwendungen zuzugreifen.
Microsoft empfiehlt, die Mehr-Faktor-Authentifizierung insbesondere auch für privilegierte Benutzer-Accounts wie „Administrator“ oder „root“ vorzuschreiben. IT-Teams geben über diese Zugänge Daten im Netzwerk frei, installieren Software oder überwachen wichtige Netzwerkgeräte zum Schutz vor Bedrohungen. Da sich die privilegierten Nutzer im Inneren der IT-Systeme bewegen, sind die Schäden groß, wenn Unbefugte in den Besitz von administrativen Zugangsdaten gelangen. Denn dann können sie sich in unternehmenskritischen Systemen, Applikationen und Daten frei bewegen und nach Belieben agieren. Deshalb sollten Unternehmen privilegierte Konten besonders sichern.
Tipp 2: Blockieren von Legacy-Authentifizierung
Die meisten kompromittierenden Anmeldeversuche erfolgen über eine veraltete Authentifizierung. Ältere Office-Clients wie Microsoft Office 2010 verwenden Legacy-Protokolle wie IMAP, SMTP und POP3 und unterstützen keine modernen Methoden wie die Multi-Faktor-Authentifizierung. Selbst wenn in der Umgebung eine MFA-Richtlinie konfiguriert ist, können böswillige Angreifer diese Maßnahme über die Legacy-Protokolle umgehen. Daher sollten Firmen diese Legacy-Authentifizierung mit einer Richtlinie blockieren.
Tipp 3: Passwörter nicht ablaufen lassen
Untersuchungen haben ergeben, dass Passwörter unsicherer werden, wenn sie regelmäßig zurückgesetzt beziehungsweise erneuert werden müssen. Benutzer neigen dazu, ein schwächeres Passwort zu wählen und es bei jeder Änderung leicht zu variieren. Wenn ein Benutzer ein starkes Kennwort erstellt (lang, komplex, mit Zahl und Sonderzeichen), sollte es in 60 Tagen noch genauso stark sein wie zu Beginn. Laut Microsoft sollten Nutzer Kennwörter nicht ohne besonderen Grund regelmäßig wechseln. Der Konzern empfiehlt, vor allem für Cloud-Anwendungen die Richtlinie für Kennwörter auf „Nie ablaufen“ einzustellen.
Tipp 4: Zurücksetzen von Kennwörtern per Selbstbedienung
Firmen sollten laut Microsoft das Self-Service-Passwort-Reset im Azure Active Directory (AD) aktivieren, damit Anwender nicht mehr den Helpdesk einschalten müssen, um ihre Passwörter zu ändern. Da diese Funktion gut mit dem Kennwortschutz im Azure AD zusammenarbeitet, werden leicht zu erratende Passwörter verhindert.
Tipp 5: Benutzerrisiko-Richtlinie für bedingten Zugriff beim Anmelden aktivieren
Die meisten Anwender weisen ein „normales“ Verhalten auf, das die Administratoren nachverfolgen können. Gibt es hier auffällige Anomalien, kann es riskant sein, die Anmeldung für das entsprechende Benutzerkonto zu erlauben. Daher sollten Firmen über das Azure Active Directory Benutzerrisiko-Richtlinien für den bedingten Zugriff konfigurieren, um eine Anmeldung, die auf ein kompromittiertes Benutzerkonto hindeutet, zu sperren oder eine mehrstufige Authentifizierung zu verlangen. Dann lässt sich beweisen, ob es sich auch wirklich um die Person handelt, die vorgegeben wird.
Tipp 6: Vorsicht bei externen, nicht verwalteten Anwendungen
Microsoft empfiehlt, den Zugriff auf integrierte Apps von externen Anbietern zu reglementieren und nur notwendige Apps zu erlauben, die Sicherheitskontrollen unterstützen und verwaltet sind. Da externe Anwendungen nicht von Microsoft erstellt werden, besteht die Möglichkeit, dass sie für böswillige Zwecke wie dem Ausspähen von Daten verwendet werden. Angreifer können über diese integrierten Apps dauerhaften Zugriff auf die Services von Firmen erhalten, ohne Benutzerkonten kompromittieren zu müssen.
Tipp 7: Kunden-Lockbox für Microsoft Azure aktivieren
Die Kunden-Lockbox für Microsoft Azure bietet eine Oberfläche, auf der Kunden Anforderungen nach Zugriff auf Kundendaten prüfen und dann genehmigen oder ablehnen können. Das Feature wird in Fällen verwendet, in denen ein Microsoft-Techniker während einer Supportanfrage auf Kundendaten zugreifen muss. Die Anfrage ist zeitlich begrenzt, und der Zugriff auf die Inhalte wird blockiert, nachdem der Support-Techniker das Problem behoben hat.
Tipp 8: Mindestens zwei globale Administratoren bestimmen
Microsoft 365 bietet eine Reihe von Administratorrollen, die Firmen ihren Nutzern zuweisen können. Ein Beispiel ist die des globalen Administrators, der fast unbegrenzt auf die Einstellungen, Anwendungen und Daten des Unternehmens zugreifen darf. Globale Administratoren dürfen beispielsweise die Kennwörter für alle Benutzer zurücksetzen oder Domänen hinzufügen und verwalten. Da nur ein anderer globaler Administrator das Kennwort eines globalen Administrators zurücksetzen kann, empfiehlt Microsoft, im Unternehmen mindestens zwei globale Administratoren (höchstens vier) vorzusehen, falls es zu einer Kontosperre kommt. Über einen weiteren derartigen Account können sich die Administratoren auch gegenseitig auf Anzeichen eines Verstoßes überwachen.
Tipp 9: Administrator-Rechte einschränken
Administratoren mit eingeschränkten Rechten haben mehr Rechte als Standard-Nutzer, aber nicht so viele Rechte wie globale Administratoren. Sie haben nur Zugriff auf Funktionen, die sie zum Erledigen einer bestimmten Aufgabe benötigen. Beispiele für derartige Rollen wären „Kennwort-Administrator“, „Exchange-Online-Administrator“ oder „Helpdesk-Administrator“. Diese eingeschränkten Befugnisse erhöhen den Schutz von Daten und senken das Risiko.
Tipp 10: Starke Verschlüsselung ohne TLS 1.0/1.1 und 3DES
Die Verschlüsselungs-Protokolle TLS 1.0 und TLS 1.1 und das Verschlüsselungs-Verfahren 3DES sind veraltet und daher unsicher. Microsoft rät daher alle Clients zu prüfen, ob sie TLS 1.0/1.1 und 3DES für die Kommunikation mit Microsoft Office 365 verwenden. Firmen sollten ihre Clients aktualisieren und diese schwächeren Protokolle und Verschlüsselungen deaktivieren.
